A política de grupo não deve ser filtrada por grupos locais de domínio

Traduções de Artigos Traduções de Artigos
Artigo: 309172 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Sumário

Os objectos de política de grupo filtrados por grupos de domínio local não são aplicados quando um utilizador inicia sessão numa estação de trabalho num domínio diferente.

Mais Informação

No Microsoft Windows NT 4.0 e domínios de modo misto, os grupos locais só são eficazes quando inicia sessão no computador que acolhe o grupo local. Grupos locais que estão definidos num controlador de domínio (DC) são replicados para todos os DC no domínio e assim são efectivas quando inicia sessão para todos os DC.

Quando inicia sessão num domínio, DC autenticação devolve um token de início de sessão que contém identificadores de segurança de grupo global (SID, Security Identifier) para o qual o utilizador é um membro e grupos locais nos DC são especificamente excluídos. Autoridade de segurança local (LSA do computador local), em seguida, verifica cada SID no token de início de sessão e adiciona um grupo local relevante SID.

No modo nativo, o Windows 2000 expande a funcionalidade de grupos locais definidos no DC. membros de grupos locais de domínio serão indicado no token de início de sessão é devolvido pelo DC, desde que o utilizador iniciar sessão num computador no mesmo domínio. Se o utilizador iniciar sessão a um computador noutro domínio, os SID do grupo local de domínio não serão incluídos.

Deste modo, no modo nativo grupos locais de domínio podem ser utilizados para proteger recursos no mesmo domínio. Quando um utilizador inicia sessão numa estação de trabalho noutro domínio e tenta aceder a um recurso na respectiva raiz domínio NTLM (NT LAN Manager) ou o mecanismo de autenticação Kerberos assegura que os grupos locais de domínio apropriado novamente são incluídos no acesso verifica o recurso.

No entanto, este não expande a política de grupo como o motor do lado do cliente obtém uma lista de objectos de política de grupo aplicável (GPO, Group Policy Object) através de procuras no Active Directory no contexto do sistema, em seguida, verificações de acesso de cada GPO controlo de acesso List (ACL) contra o token do utilizador. Se o utilizador não é iniciado no próprio domínio, o token não contém membros do grupo local de domínio e qualquer filtragem da política de grupo por grupos de domínio local não irá funcionar conforme esperado.

Por conseguinte, se os utilizadores devem iniciar sessão em computadores de outros domínios na floresta, GPOs não devem ser filtrados por grupos de domínio local.

Propriedades

Artigo: 309172 - Última revisão: 9 de fevereiro de 2014 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbnosurvey kbarchive kbmt kbdomain kbinfo kbnetwork KB309172 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 309172

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com